Ruta de navegación
Publicaciones
DS. Congreso de los Diputados, Comisiones, núm. 954, de 28/11/2007
CORTES GENERALES
DIARIO DE SESIONES DEL CONGRESO DE LOS DIPUTADOS
COMISIONES
Año 2007 VIII Legislatura Núm. 954
CONSTITUCIONAL
PRESIDENCIA DEL EXCMO. SR. D. ALFONSO GUERRA GONZÁLEZ
Sesión núm. 35
celebrada el miércoles, 28 de noviembre de 2007
ORDEN DEL DÍA:
Comparecencia del señor Director de la Agencia Española de Protección de Datos (Rallo Lombarte), para informar sobre la memoria de la Agencia Española de Protección de Datos correspondiente al año 2006. A petición propia. (Número de
expediente 212/001656.)
Se abre la sesión a las doce del mediodía.
El señor PRESIDENTE: Comenzamos la reunión de la Comisión Constitucional con la comparecencia del director de la Agencia Española de Protección de Datos, a petición propia, para informar sobre la memoria de la Agencia Española de Protección
de Datos correspondiente al año 2006. Para la exposición que estime conveniente tiene la palabra el director de la Agencia Española de Protección de Datos, don Artemi Rallo Lombarte.
El señor DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (Rallo Lombarte): Señor presidente, señorías, es para mí un placer y un honor comparecer ante esta Comisión para informar sobre la memoria de la agencia correspondiente al año
2006. Me voy a referir a los resultados del periodo de gestión de mi antecesor, cuyo trabajo quiero reconocer ante todos ustedes, aprovechando mis primeras palabras. Como disponen SS.SS. de ejemplares de la memoria, voy a centrar mi intervención
en los temas que resultan más relevantes para apreciar el estado en el que se encuentra en la actualidad la protección de datos personales en España, y profundizaré también en los temas más relevantes correspondientes al ejercicio presente. Los
principales indicadores para evaluar el conocimiento y la implantación de la normativa de protección de datos son la inscripción de ficheros en el registro general, las solicitudes de información que demandan los ciudadanos y las tutelas de derechos
ejercidos por los ciudadanos. Durante el año 2006 se ha producido un incremento neto de 165.000 ficheros, lo que representa un aumento del 21 por ciento, más de cien operaciones diarias de registro, habiéndose alcanzado la cifra de 815.093 ficheros
inscritos, de los cuales 758.955 corresponden al ámbito privado y 56.138 al ámbito público. Esto ha supuesto que en los últimos cuatro años se haya triplicado la actividad del Registro General de Protección de Datos. La evolución de estas cifras
se ha mantenido en el año 2007 y no más lejos de anteayer se alcanzó la cifra de un millón de ficheros inscritos en el registro general de la agencia. Se aprecia que los mayores crecimientos afectan a los ficheros de profesionales y de pymes, lo
que indica que progresivamente se va cerrando la brecha de desconocimiento de la normativa de protección de datos en estos importantes agentes de la actividad económica y se constata la utilidad de las inspecciones sectoriales de carácter preventivo
en algunos ámbitos -sanidad, educación, turismo y hostelería-, que han incrementado esta inscripción y, como decía, evidencian su interés. La agencia ha sido consciente de la necesidad de simplificar y facilitar el cumplimiento de esta obligación y
en septiembre del año 2006 activó el sistema NOTA como primer servicio de administración electrónica de la agencia, apostando por un modelo de notificación simplificado que permite la utilización de la firma electrónica y la realización de
inscripciones agrupadas. Esta iniciativa se ha complementado en el año 2007 con la firma de un convenio con el Ministerio de Industria para la inscripción de ficheros de las pymes constituidas telemáticamente. Quiero insistir en este punto
haciendo un nuevo llamamiento a las pymes para que se adapten a la normativa de protección de datos, no solo por cumplir con las obligaciones legales, sino para que, incorporando medidas de seguridad, eviten riesgos como el de la filtración y uso de
sus bases de datos de clientes por empresas competidoras.
El conocimiento que los ciudadanos tienen de las garantías de la Ley Orgánica de Protección de Datos se evidencia en el número de consultas que se formulan al servicio de atención al ciudadano, en el acceso a la página web de la agencia y en
el número de denuncias y de solicitudes que tienen por objeto la tutela de los derechos de acceso, rectificación, cancelación y oposición que se le plantean a la agencia. Las consultas planteadas a través de los canales tradicionales -telefónicas,
por escrito o presenciales- se han mantenido durante el año 2006 estables, en torno a las 36.000, mientras que los accesos a la página web tuvieron un incremento del 45 por ciento, una cifra algo superior al millón y medio.
Durante el año 2007 se
consolidó esta tendencia y a fecha de hoy la cifra ha alcanzado los dos millones de accesos durante este ejercicio, lo que confirma la eficacia de este canal de difusión de la normativa de protección de datos. Entre las principales inquietudes
ciudadanas destaca que el 50 por ciento de las consultas se han referido al ejercicio de los derechos de acceso, rectificación, cancelación y oposición, y denota una creciente sensibilidad de los ciudadanos dirigida a hacer efectivo directamente el
poder de disposición sobre sus datos personales que consagró como contenido esencial del derecho fundamental, la sentencia 292/2000, del Tribunal Constitucional. Los derechos cuya tutela se demanda en mayor número son los de cancelación, en un 50
por ciento, y de acceso a la información que obra en los ficheros, en un 36 por ciento. Es posible afirmar que los ciudadanos son cada vez más conscientes del tratamiento masivo de su información personal, quieren saber cuál es esa información y
sobre todo quieren evitar su uso ilícito. En 2006 se iniciaron 1.282 expedientes de investigación, lo que supone un incremento del 11 por ciento, de los que un 94 por ciento fueron iniciados por denuncia y un 6 por ciento a iniciativa del director.
Los procedimientos sancionadores iniciados en el ámbito privado se han reducido ligeramente, alcanzando la cifra de 281, mientras que se han incrementado los referidos a las administraciones públicas -103-, singularmente corporaciones
locales, por el hecho coyuntural de no haber atendido los requerimientos de la agencia para que inscribieran sus ficheros. No obstante, permítanme señorías que haga un llamamiento a la necesidad de que las administraciones públicas extremen su
diligencia en el uso de los datos que requieren de los
ciudadanos, especialmente en materia de seguridad, para evitar situaciones tan comprometidas como las conocidas la semana pasada en Reino Unido, donde, al parecer, las autoridades han extraviado en torno a 25 millones de registros
personales. De nuevo entre nosotros, en 2006 se resolvieron 307 procedimientos sancionadores, con un incremento del 12 por ciento y las multas declaradas por la agencia ascendieron a 24,4 millones de euros. Al igual que en el ejercicio anterior,
los sectores de telecomunicaciones y financiero acaparan la mayor parte de las reclamaciones, inspecciones e infracciones, siendo las más frecuentes la inclusión indebida en los ficheros de morosidad y la recogida de datos de forma engañosa para la
contratación fraudulenta de servicios de telefonía en Internet. El nivel de confirmación de las resoluciones de la agencia por parte de la Audiencia Nacional ha descendido ligeramente, desestimándose íntegramente el 77 por ciento de los recursos,
mientras que en el Tribunal Supremo, excepto en dos ocasiones, se han ratificado mayoritariamente los criterios de la agencia. Les señalaré que, desde el punto de vista territorial, los mayores volúmenes de inscripciones y reclamaciones se
producen, lógicamente, en Madrid y Cataluña y se aprecia un cierto incremento en Andalucía y en la Comunidad Valenciana.
Para atender el conjunto de actividades que he sintetizado, la agencia contaba en el año 2006 con una plantilla notablemente escasa de 113 personas, que ha abocado inevitablemente a una congestión de procedimientos sancionadores -en torno a
un millar- que necesita urgente solución. El proyecto de presupuestos para 2008 incorpora un crecimiento del presupuesto de la agencia en torno a un 15 por ciento, que servirá para incrementos adicionales de personal, pero todavía insuficientes,
por lo que en futuros ejercicios será imprescindible ampliar los recursos humanos que hoy demandamos.
Es preciso destacar que la Conferencia internacional de agencias de protección de datos, celebrada en Londres en 2006, analizó la necesidad de adoptar medidas urgentes dirigidas a reforzar la actividad de las autoridades de protección de
datos, mejorando la comunicación pública y los instrumentos que permiten la aplicación efectiva de la normativa. La memoria de 2006 recoge algunos datos sobre el incremento de las actividades de la comunicación de la agencia con más de cien notas
de prensa emitidas, trescientas demandas de información atendidas y cerca de seiscientos impactos mediáticos contabilizados. Sin embargo, sigue apreciándose un mayor peso de lo que podríamos denominar una política de comunicación reactiva. Como
director he apostado firmemente por el fortalecimiento de vías de comunicación que posibiliten un mayor y mejor conocimiento por los ciudadanos del derecho a la protección de datos de carácter personal.
Un aspecto que contribuye decisivamente al cumplimiento de la normativa son actividades preventivas como las inspecciones sectoriales, o las dirigidas a garantizar mayores niveles de seguridad jurídica mediante la emisión de informes. En
2006 los informes emitidos afectaron a regulaciones particularmente sensibles que hoy ya son ley, como la Ley de conservación de datos relativos a comunicaciones electrónicas, la Ley de acceso electrónico de los ciudadanos a los servicios públicos,
la Ley de bases de datos indicadores de ADN o la de investigación biomédica. A fecha de hoy, sin embargo, queda pendiente para incrementar la seguridad jurídica en el ámbito de la Ley Orgánica de Protección de Datos, como SS.SS. conocen, la
aprobación de su reglamento de desarrollo. Aun siendo una iniciativa de competencia del Ministerio de Justicia, deseo manifestarles mi satisfacción por el hecho de que el proyecto de reglamento ya haya superado el trámite de dictamen del Consejo de
Estado y, por tanto, resulte inminente su aprobación por el Consejo de Ministros.
El proyecto consolidará precedentes de la agencia, de la Audiencia Nacional y del Tribunal Supremo, objetivándolos y garantizando mayor seguridad jurídica; establecerá medidas de seguridad para los ficheros no automatizados; dará respuesta
a las recomendaciones del Defensor del Pueblo para la incorporación de garantías adicionales a los ficheros de morosidad; y, por último, establecerá específicas reglas dirigidas a la protección de los menores en el tratamiento de sus datos
personales. A fin de alcanzar también mayor seguridad jurídica, he de poner de relieve ante SS.SS. la puesta en marcha de nuevas formas de cooperación entre la Agencia Española de Protección de Datos y las agencias autonómicas existentes, basadas
en un esquema similar al de las conferencias sectoriales, de forma que además de las reuniones que mantienen los directores de las agencias se han creado grupos de trabajo específicos, cuya coordinación se ha distribuido entre las distintas
autoridades.
Los datos que he venido comentando referidos al año 2006, aun siendo significativos, no reflejan plenamente el alcance de las tensiones a que está sometido el derecho a la protección de datos. Las exigencias de la actividad económica
demandan constantemente una mayor flexibilidad de los flujos internacionales de datos. Las ya conocidas tensiones entre seguridad y derechos y libertades tienden a romper su necesario equilibrio y a ellas se han sumando un desarrollo imparable de
la videovigilancia. Sobre todo, llamo la atención sobre uno de los principales retos actuales: el desarrollo tecnológico que pone a disposición de cualquier persona extraordinarias herramientas para la captación y el uso de información de
terceros. Señorías, el desarrollo de las nuevas tecnologías pone hoy en jaque los criterios tradicionales de garantía de la privacidad y exige una actualización y adaptación urgentes.
Por lo anteriormente apuntado, creo necesario tratar en un segundo bloque de mi intervención los principales temas de la agenda actual de la agencia, actualizando la información de la memoria de 2006. Haré referencia, en primer lugar, a las
transferencias internacionales de datos, cuestión que ha sido objeto de alguna iniciativa parlamentaria. La normativa de protección de datos
prevé la necesidad de que se desarrollen los flujos internacionales de datos sujetos a un sistema de protección equivalente al que existe en Europa. Las transferencias internacionales de datos a terceros países, y en particular a países
latinoamericanos, están adquiriendo una importancia creciente, ya que suelen ir asociadas a fenómenos de deslocalización de actividades empresariales que se venían realizando en España. La memoria de 2006 pone de manifiesto este incremento y a
fecha de hoy el número de solicitudes de autorización asciende ya a 105. Las competencias de la agencia se limitan a constatar si la transferencia internacional de datos que implican estas prestaciones de servicios se realizan con garantías. Por
ello, hemos llevado a cabo dos iniciativas nuevas en este año 2007. De un lado, generalizar el trámite de información pública durante la tramitación de los expedientes de transferencia internacional para que los agentes sociales, si están
interesados, puedan formular alegaciones y, de otro, hemos realizado inspecciones in situ en alguno de los países latinoamericanos donde están ubicadas empresas de telecomunicaciones prestadores de servicios de atención al cliente para comprobar, y
así se ha demostrado, que las garantías se cumplen.
En segundo lugar, quiero abordar el tema de la videovigilancia. Se está convirtiendo en un fenómeno ampliamente generalizado, no solo en la actuación de los poderes públicos sino también en el ámbito privado. La evolución de los datos
registrados en la agencia parece indicar que somos los propios ciudadanos los que estamos dispuestos a convertirnos en nuestro propio Gran hermano. En el año 2003 el número de ficheros inscritos en el registro general de la agencia con fines de
videovigilancia era tan solo de 10; en 2004 ascendieron a 88; en 2006 figuraban inscritos 375, y hoy ascienden a más de 3.500. Los ciudadanos estamos fomentando un crecimiento de la videovigilancia de desarrollo impredecible, proliferando y
generalizándose iniciativas de instalación de cámaras en comunidades de propietarios, locales comerciales o servicios de transporte, como el metro, los autobuses o taxis. A lo que se une la aparición de nuevos servicios en Internet, como YouTube,
que permiten la difusión global de imágenes a todos los usuarios de la red.
Señorías, quisiera manifestar mi preocupación sobre fenómenos como YouToube, que de forma ilícita pueden poner a disposición de cualquiera nuestra imagen y someter a
notables riesgos la privacidad y la dignidad del ciudadano. Ante esta situación emergente la agencia reaccionó con la instrucción 1/2006, sobre videovigilancia, que ha venido a establecer unas reglas y garantías básicas: primero, afirmando
rotundamente que la imagen es un dato personal tanto si se visualiza como si se graba; segundo, reconociendo el monopolio de la actividad de videovigilancia en lugares públicos a las Fuerzas y Cuerpos de Seguridad del Estado; tercero, admitiendo
la videovigilancia privada solo cuando la seguridad perseguida no pueda alcanzarse por medios menos intrusivos; y, cuarto, obligando a informar a los ciudadanos de la captación de sus imágenes e imponiendo la obligación de cancelarlas en el plazo
máximo de un mes.
En tercer lugar, haré referencia a una cuestión relacionada con los registros de la Iglesia católica, que ha sido también objeto de alguna iniciativa parlamentaria. A lo largo del año 2006 se dictaron unas cincuenta resoluciones por la
agencia que estimaban el derecho de cancelación de los libros de bautismo de la Iglesia católica. Este fenómeno se ha ampliado en el año 2007, estimándose hasta el mes de septiembre 168 peticiones. Con el fin de garantizar el principio de calidad
de los datos y su actualización previsto en la Ley Orgánica de Protección de Datos, la agencia resolvió que debía realizarse una anotación marginal en las partidas de bautismo a fin de hacer constar el ejercicio del derecho de cancelación. La mayor
parte de estas resoluciones, 187, han sido recurridas ante la Audiencia Nacional que, en sentencia de 10 de octubre de 2007, ha resuelto el primero de los recursos desestimándolo e instando a la Iglesia católica, y en concreto al Arzobispado de
Valencia, a cumplir la resolución de la agencia. Aunque esta sentencia de la Audiencia Nacional a fecha de hoy ha sido recurrida ante el Tribunal Supremo, quisiera sintéticamente recordar los dos pronunciamientos básicos de la misma. La Audiencia
Nacional entiende que los libros de bautismo tienen la consideración de fichero y, en consecuencia, están sujetos a la normativa de protección de datos y que el bautismo como sacramento supone presunción o indicio de pertenencia a la Iglesia
católica, por lo que deben atenderse las peticiones de actualización o de puesta al día de dicha información. Esto es, debe atenderse la pretensión de quien, en el ejercicio de su libertad de conciencia, se sienta inquietado por el contenido del
asiento del libro de bautismo y desee dejar constancia de su oposición a ser considerado miembro de la Iglesia católica.
En cuarto lugar, tampoco han sido infrecuentes las colisiones entre el derecho fundamental a la protección de datos y otros derechos como la libertad de información consagrada en el artículo 20 de nuestra Constitución. Las reclamaciones más
recientes y novedosas afectan a uno de los fenómenos que mayor desarrollo ha alcanzado en la red, los foros de Internet. Algunos ciudadanos han visto cómo en estos foros se incluía información sobre su persona y han solicitado la tutela de la
agencia, que se ha visto en la necesidad de fijar un marco de criterios de referencia cuyos elementos esenciales se sustentan sobre las siguientes ideas. En primer lugar, las informaciones introducidas en los foros de Internet constituyen una
manifestación de las libertades proclamadas en el artículo 20 de la Constitución, que ampara la comunicación y recepción libre de información por cualquier medio. En segundo lugar, exigir mecanismos que filtraran en Internet contenidos con datos
personales podría suponer una modalidad de censura previa constitucionalmente proscrita. Pero la prevalencia de las libertades de expresión e información frente al derecho
fundamental a la protección de datos ha de verse limitada cuando la información personal no goza de interés general ni afecta a personaje público. En consecuencia, las garantías del derecho a la protección de datos son aplicables a los
foros de Internet y los responsables de los sitios web deben preservarlas. Ningún ciudadano que no goce de la condición de personaje público ni sea objeto de hecho noticiable de relevancia pública tiene que resignarse a soportar que sus datos de
carácter personal circulen por la red sin poder reaccionar ni corregir la inclusión de los mismos en un sistema de comunicación universal como Internet. Para ello existen mecanismos reactivos amparados por la Ley Orgánica de Protección de Datos,
como el derecho de cancelación, que ha sido tutelado por la agencia.
En quinto lugar su vinculación con este último supuesto me conduce también a informar a SS.SS. sobre algunas cuestiones relevantes de las que se ha ocupado la agencia que afectan al tratamiento de datos en Internet. Todos somos conscientes
de que el extraordinario avance tecnológico ha planteado nuevos retos que obligan a reconsiderar sus repercusiones sobre los derechos individuales. Por un lado, es cierto que forma parte de la agenda política y social el reconocimiento de nuevos
derechos que garanticen a los ciudadanos el uso y ventajas de la tecnología, pero, por otro, se demanda con mayor intensidad el necesario equilibrio dirigido a ofrecer garantías frente a los nuevos riesgos que aventuran nuevos servicios de Internet
como los motores de búsqueda y los servicios de correo electrónico.
Existe una conciencia cada vez más generalizada sobre la conveniencia de establecer estándares internacionales que definan reglas de garantía de la privacidad para Internet. He tenido ocasión de conocer directamente el interés de las
principales compañías del sector, y de hecho en la reciente Conferencia internacional de autoridades de protección de datos, celebrada en Montreal, se ha manifestado institucionalmente la necesidad de establecer normas internacionales sobre
privacidad en Internet. Estas iniciativas deben dirigirse muy especialmente a la protección de los menores en Internet, evitando que puedan convertirse en las víctimas más perjudicadas por la aparente ausencia de reglas. No en vano, estudios
recientes advierten que el 35 por ciento de los menores ha sufrido algún tipo de acoso a lo largo de su vida mientras chatea en Internet, empezando por intentar que el menor facilite su identidad y datos en la red sin ningún tipo de control. Para
ello habrá que analizar los hábitos de los menores como usuarios de la red y la oferta de servicios dirigidos específicamente a ellos. Será preciso además impulsar acciones de información a los menores para que, de manera sencilla y comprensible,
conozcan los riesgos a que están expuestos y ampliar la cultura de padres y madres en este ámbito para que adopten una posición activa sobre el uso de las nuevas tecnologías.
Estas políticas no solo son necesarias para los menores, las requieren el conjunto de los usuarios de la red para no banalizar el uso -y sus riesgos- de Internet. En Internet no todo vale, y entre todos debemos contribuir a evitar que
contenidos indeseables, que infringen la normativa de protección de datos, sigan volcándose y alojándose en Internet con altas dosis de impunidad. Estimular el uso consciente de los servicios en la red permitirá evitar situaciones como la
utilización inadecuada de programas para descarga de música, imágenes o juegos que han podido dar lugar a la difusión en Internet de datos especialmente protegidos, como los de salud, en procedimientos que han sido denunciados ante la agencia. La
agencia ha tomado la iniciativa de analizar las políticas de privacidad de las mayores compañías mundiales prestadoras de servicios de Internet. De hecho, requirió información de Google, Microsoft y Yahoo, que se ha complementado con reuniones con
los responsables mundiales de privacidad de estas corporaciones en Europa y en Estados Unidos. En estos momentos estamos próximos a hacer pública una declaración sobre sus prácticas, cuyos aspectos básicos quiero anticipar a esta Comisión.
Para la prestación de estos servicios de búsqueda se accede a un abanico relevante de datos personales, entre ellos las direcciones IP, que permiten efectuar perfiles de hábitos de los usuarios. Dicha información se conserva por las
empresas durante amplios periodos de tiempo, que van de 13 a 18 meses. A los mismos fines se utilizan archivos instalados en los ordenadores que permiten identificar a los usuarios y cuyo periodo de conservación puede llegar a 30 años. Las
compañías que ofrecen estos servicios justifican la conservación de información personal en la necesidad de mejorar la prestación del servicio, de garantizar su seguridad frente a los ataques informáticos, de evitar fraudes dirigidos a competidores
y de atender los requerimientos de las autoridades.
Nuestra primera conclusión es que los usuarios desconocen el alcance del uso de los datos personales obtenidos al utilizar dichos servicios.
Cuando utilizan el servicio carecen de información
suficiente sobre el tratamiento de sus datos. Aunque los motores de búsqueda aparentemente ofrecen información sobre sus políticas de privacidad, lo cierto es que no las destacan suficientemente, y éstas adolecen de una complejidad que impide su
cabal comprensión a los usuarios. Es preciso, por tanto, desarrollar nuevas políticas informativas visibles, claras y transparentes que informen a los usuarios sobre el uso y conservación de sus datos personales cuando realizan búsquedas en
Internet.
En segundo lugar, los motores de búsqueda de Internet fundamentan legítimamente su existencia en el establecimiento de una relación jurídica entre el usuario y quien lo presta. Dicha relación justifica la conservación de datos para la
prestación y mejora del servicio en condiciones de seguridad y para la detección de fraudes. Sin embargo, la conservación de los datos de búsqueda en Internet a los fines de disponibilidad de las autoridades competentes no goza de sustento legal,
pues los
prestadores de estos servicios de búsqueda no están sujetos a la obligación legal de conservación de los datos, lo que no pone en cuestión ni matiza el obvio sometimiento de todos ellos a los requerimientos judiciales dirigidos a combatir el
crimen.
En tercer lugar, los prestadores de estos servicios tienen políticas de privacidad distintas, y estas diferencias se aprecian en particular en la oferta de información a los usuarios y sobre todo en las modalidades y periodos de conservación
de los datos. A juicio de la agencia, estas diferencias, aun cuando puedan estar vinculadas a un mejor desarrollo del negocio, no son aceptables si suponen un menor respeto a los derechos de los usuarios, por lo que propondremos la adopción de las
que ofrezcan mayores garantías al derecho fundamental. Como alternativa a los periodos de conservación de la información entendemos que deben desarrollarse procedimientos de disociación entre la información personal disponible y el usuario, de
forma que sus datos resulten al menos parcialmente anónimos. Finalmente los buscadores deben garantizar el ejercicio efectivo de los derechos de acceso, rectificación, cancelación y oposición, especialmente estos dos últimos, lo que adquiere gran
relevancia respecto de los servicios de búsqueda por cuanto que, aunque la incorporación y uso inicial de dicha información personal a la red puedan estar legitimados en su origen, puede resultar exageradamente desproporcionado en ocasiones su
mantenimiento secular y universal en Internet.
Finalizaré mi intervención facilitando a SS.SS. información actualizada sobre algunas de las cuestiones referidas a las tensiones entre seguridad y protección de datos. Ejemplos de los conflictos entre las exigencias de seguridad y
protección de datos lo constituyen los conocidos casos Swift y PNR, sobre comunicación de datos sobre transferencias financieras o de pasajeros de aerolíneas a las autoridades norteamericanas. Respecto del primero de ellos, casos Swift, el
principal problema planteado se refería a la necesidad de informar a los clientes de las entidades financieras sobre dichas transferencias. La agencia ha mantenido reuniones con la Asociación Española de Banca, la CECA y el Banco de España que se
han traducido en un acuerdo de cláusulas informativas que debían utilizarse y sobre los procedimientos de información a los clientes. Además, hemos solicitado información directa a las principales entidades financieras sobre la adopción de estas
medidas, habiendo obtenido una respuesta satisfactoria.
Respecto de la transmisión de datos de pasajeros de aerolíneas, el pasado mes de julio fue firmado un nuevo acuerdo para la transmisión de datos de pasajeros entre las autoridades europeas y norteamericanas. Para la agencia este nuevo
acuerdo contempla una serie de medidas que pueden suponer una disminución de las garantías del derecho por las siguientes razones: En primer lugar, por la ampliación del periodo de retención de datos de tres años y medio a 15. En segundo lugar,
por la posibilidad de que las autoridades norteamericanas puedan hacer uso de datos sensibles que se puedan derivar de los datos de reserva, como lo pueden ser los de salud o el origen racial. En tercer lugar, la ampliación de las finalidades para
las que puedan utilizarse estos datos. En cuarto lugar, el aumento de los potenciales receptores de los datos transferidos y, por último, por el hecho de que la información obtenida puede ser transmitida a terceros países.
En opinión de la agencia, ante iniciativas como la anterior es necesario insistir sobre la necesidad de garantizar el derecho fundamental a la protección de datos buscando equilibrio. He querido detenerme ante esta Comisión sobre este tema
ya que la Cámara tendrá que pronunciarse cuando se tramite la autorización del acuerdo internacional por el que se incorporan las disposiciones anteriores a nuestro derecho interno. A esos efectos, quedo también a su disposición.
Siguiendo la tendencia iniciada por las autoridades americanas, la Comisión Europea ha presentado este mismo mes una propuesta europea para la transmisión para fines de seguridad pública de los datos de los pasajeros de vuelos procedentes o
con destino a la Unión Europea. Esta nueva iniciativa ha recibido ya un primer pronunciamiento o valoración por parte de las autoridades europeas de protección de datos, reunidas en la sede de nuestra agencia el pasado 13 de noviembre, cuestionando
dos elementos, la proporcionalidad de esta medida, en tanto en cuanto ya desde el año 2004 está en vigor una norma comunitaria que prevé la transmisión de información contenida en los pasaportes para combatir la inmigración ilegal, y por contemplar
un período de retención excesivamente amplio, hasta 13 años.
Termino, señor presidente, señorías, creyendo no equivocarme al afirmar que alcanzar el necesario equilibrio entre las actuales demandas de seguridad y la protección de la libertad y de los derechos es uno de los mayores retos a los que se
enfrentan gobiernos y legisladores del mundo y, en particular, de la Unión Europea. Es necesario hacer un llamamiento al conjunto de los poderes públicos para que la consecución de este equilibrio esté presente en cualquier iniciativa que se
adopte. Hago una apelación para que también España impulse y lidere en el ámbito de la Unión Europea aquellas políticas que, garantizando el valor de la seguridad, contribuyan a extender la virtud de los derechos. Confío en haber ofrecido una
información actualizada a la Comisión sobre el estado del derecho a la protección de datos en España, sobre los principales riesgos y, a continuación, quedo a disposición de todas sus señorías.
El señor PRESIDENTE: Tienen ahora los grupos parlamentarios la posibilidad de intervenir. En primer lugar, en nombre del Grupo Parlamentario Popular tiene la palabra doña Carmen Matador de Matos.
La señora MATADOR DE MATOS: En primer lugar, quiero agradecer la comparecencia del director
de la Agencia de Protección de Datos, resaltar el trabajo que se está realizando por la misma, ya que vemos que conforme van pasando los años todo va mejorando, funcionando y se van ampliando las actividades y los servicios de la agencia.
Dentro de la actividad de la agencia a lo largo de 2006, vemos que no solo se han incrementado las consultas a la agencia sino también la complejidad de las mismas. Quiero detenerme en estas consultas que se han planteado, principalmente por
colectivos de profesionales que están vinculados a pequeñas y medianas empresas que constituyen ese cauce apropiado para promover y asesorar sobre el cumplimiento de la norma. Estos profesionales se han dirigido al Grupo Parlamentario Popular y nos
han pedido expresamente que hoy, que estaba prevista su comparecencia, le planteáramos una serie de cuestiones relativas a ese proyecto de real decreto por el que se aprobará el reglamento que desarrolla la Ley de Protección de Datos. Se nos ha
dicho la situación en la que se encuentra ese futuro reglamento que debería estar aprobado, se dijo que iba a entrar en vigor el pasado año, y quiero poner de manifiesto las dudas que suscita ese proyecto que va a regular el futuro reglamento. Se
nos han trasladado cuestiones importantes, como las relativas al objeto de aplicación de la ley. Concretamente estos profesionales se refieren al tema de las exclusiones. El proyecto de reglamento recoge que no será de aplicación la Ley de
Protección de Datos, por ejemplo, a las personas fallecidas, y se quejan de que no recoge exclusiones que ha ido admitiendo la propia Agencia de Protección de Datos en distintas resoluciones que se han dictado en procedimientos tramitados por la
agencia: persona de contacto en una empresa, como puede ser un cliente; nombre y apellidos del director de una oficina bancaria con la que se trabaja; datos de apoderados o administradores de empresa; datos relativos al titular de un
establecimiento mercantil o comercial; y datos relativos a profesionales liberales, siempre y cuando estos estén organizados en forma de empresa. Nos trasladan estas exclusiones que son amplias e importantes en las que debería profundizarse e
incluirlas en la redacción del futuro reglamento, dado que de esta forma se daría más seguridad a los responsables de los ficheros, debido a las sanciones de las que pueden ser objeto en un momento posterior.
En relación con los profesionales liberales también se nos ha dado traslado de que solamente quedan fuera de la órbita de la protección de la ley los que se organicen de forma expresa y esto da lugar a situaciones como la que nos planteaba
un gabinete jurídico, que tuvo una reunión aquí con este grupo parlamentario, al que le encargaban contestar una demanda judicial. Da de alta el expediente en el programa informático y anota los datos del abogado contrario, nombre, número de
teléfono, etcétera. El teléfono lo había sacado del listado del Colegio de Abogados, que es una fuente de acceso público, y lo incorpora a un fichero que es de responsabilidad de este abogado, por lo que tenía la obligación de ofrecer, según la ley
y el reglamento, a ese compañero abogado la información relativa al artículo 5 de la Ley Orgánica de Protección de Datos. Ellos consideran que esto es absurdo. También sería bueno profundizar en la delimitación de ese objeto de la ley que va a ser
el futuro reglamento para que sea más clara para el destinatario, dado que se quejan de que el incumplimiento acarrea una fuerte y grave sanción económica.
Voy a centrar esta comparecencia en lo que va a ser el futuro reglamento, porque lo demás ha quedado suficientemente aclarado tanto en la memoria como en la explicación del director de la Agencia de Protección de Datos.
Otro asunto que nos
planteaban era el relativo a la información y al consentimiento. En unas empresas que contrata una Administración autonómica, en este caso, para que realizaran una propuesta de creación de ficheros y redacción de cláusulas informativas, se planteó
la duda de ofrecer la información del artículo 5 de la ley y recabar el consentimiento en caso de llamada al teléfono de urgencia del servicio de bomberos de esta Administración autonómica en concreto. Por la Agencia Estatal de Protección de Datos
se les contestó que sí era necesario ofrecer este tipo de información. Ellos crearon un fichero, centro de llamadas de urgencias, dando la información de conformidad con la Ley Orgánica de Protección de Datos. La duda que ellos tienen es dónde
deben introducir esa cláusula informativa. Una de las propuestas que nos pedían que les trasladáramos era que deba ofrecerse la misma con carácter previo al inicio de la conversación que se va a registrar, porque consideran que lo más oportuno es
la inserción de una grabación que salte de forma automática al atender las llamadas y con carácter previo a su atención por el operador. Por ello consideraban que no estaría mal que constaran excepciones en esa futura redacción del reglamento en lo
que afecta al tema de la información y el consentimiento.
Respecto a los datos de salud y a los especialmente protegidos, consideran que sigue sin definirse claramente en la norma el dato de salud -a su juicio- y que ni en el reglamento ni en la ley se aclara, a efectos de conocimiento por los
responsables de esos ficheros, si el simple hecho de constar en nómina, por ejemplo, el concepto de enfermedad común es un dato de salud o no, y se quejan de que nada se dice en el proyecto, quedando como única regulación los artículos de la Ley
Orgánica de Protección de Datos, que dicen que no quedan claros. En cuanto al artículo 7.3 de dicha ley, que habla de que los datos de salud solamente pueden ser tratados con consentimiento expreso del interesado, afirman que el tratamiento de
datos de salud de un cliente por un abogado no necesita el consentimiento expreso, al amparo de lo dispuesto en el artículo 6.2 de la Ley Orgánica de Protección de Datos. Hay profesionales que consideran este planteamiento erróneo. Podemos poner
otro ejemplo.
¿Necesita la Administración consentimiento expreso para tratar el dato de minusvalía física o psíquica que aporta un solicitante
de una vivienda de protección oficial o del reconocimiento de familia numerosa o no sería necesario por recogerse ese dato en el ejercicio de las funciones propias de las administraciones públicas que viene en el artículo 6.2 de la Ley
Orgánica de Protección de Datos? Estas cuestiones las plantean siempre en aras de la seguridad jurídica del responsable del fichero, porque al fin y al cabo es el que en último término está sujeto a la norma.
Respecto al ejercicio de derechos por los interesados, sería deseable también entrar más en la seguridad jurídica del responsable del fichero, sobre todo en los supuestos de revocaciones de consentimiento o ejercicios de derecho. Por
ejemplo, de acuerdo con el artículo 22 del proyecto de reglamento, si uno de los contenidos obligatorios de la comunicación que debe remitir el interesado es la firma de la misma, en caso de utilizarse como medio de comunicación un correo
electrónico la única forma de que vaya firmado con validez jurídica sería la utilización de la firma electrónica identificativa de forma obligatoria, por lo que consideran que en el proyecto de reglamento debería exigirse siempre la firma
electrónica para estos casos. El único artículo en el que se menciona expresamente el correo electrónico como medio válido para ejercer el derecho es el 48, y nos piden que les traslademos que debería mencionarse expresamente en el resto de
supuestos previstos en el reglamento en los que no se hace referencia a los procedimientos válidos que el responsable del fichero pueda fijar para tal ejercicio.
Respecto a este tema se plantean muchísimas cuestiones de las que el director de la Agencia Española de Protección de Datos tiene conocimiento. Hoy me he comprometido expresamente a trasladárselas, puesto que en esta comparecencia
normalmente las explicaciones suelen ir todas en el mismo sentido, es decir la inscripción de ficheros, las consultas planteadas, la actividad de la agencia, que la tenemos ya en la memoria que se nos ha entregado. Se nos insistía en que hiciéramos
mucho hincapié en el tema del reglamento, porque no viene a aclarar muchas dudas que se suscitan en la ley y a los profesionales, que al fin y al cabo son los que tienen que asesorar sobre esta materia, hay muchas cuestiones que no les quedan
claras. Cuando plantean algunos informes a la Agencia Española de Protección de Datos nos decían que muchas cuestiones que se están suscitando en estos últimos años son más bien de tipo informático y no solo jurídico; les gustaría que esos
informes, que son muy clarificadores a nivel jurídico, resolvieran cuestiones generadas sobre todo por la informática y las nuevas tecnologías.
Para no seguir leyendo todas las cuestiones que se me han planteado, estoy dispuesta a trasladárselas por escrito, para que antes de que entre en vigor ese futuro reglamento podamos subsanarlas, así como algunas dudas y sobre todo algunos
temas que no quedan perfectamente claros en ese reglamento de la Ley Orgánica de Protección de Datos.
El señor PRESIDENTE: Por el Grupo Parlamentario Socialista tiene la palabra doña Elisenda Malaret.
La señora MALARET GARCÍA: Señor director de la Agencia Española de Protección de Datos, bienvenido a la Comisión Constitucional, a la sesión anual de rendición de cuentas ante el Parlamento; una sesión tanto más relevante, como ya he
señalado en ocasiones anteriores, cuanto que en su condición de autoridad independiente está sustraído a todo poder de dirección del Gobierno. El Grupo Parlamentario Socialista valora muy positivamente la tarea realizada por la Agencia Española de
Protección de Datos; una tarea que usted ha presentado de forma muy sintética y que la memoria recoge de manera fehaciente; una tarea que además se puede conocer y seguir de manera periódica, consultando la información suministrada regularmente en
la página web de la institución. Creemos que se ha trabajado mucho y bien -ya se ha puesto de relieve en la anterior intervención-, pero nos interesa significar la especial sensibilidad que se ha tenido con los problemas nuevos, con las cuestiones
nuevas que se suscitan con la globalización y con Internet en relación con el tratamiento de datos personales.
Quisiéramos ahora realizar algunos breves comentarios en relación con el trabajo desarrollado en el último periodo. En primer lugar, queremos felicitar a la Agencia Española de Protección de Datos por el incremento de información relativa a
las tareas desarrolladas por el grupo del artículo 29. Nos parece un dato coherente con la creciente significación de este órgano en el panorama institucional europeo; una relevancia tanto más necesaria por cuanto, como se ha puesto de relieve en
la intervención del director, ello supone un equilibrio imprescindible con el creciente papel del intercambio de información policial entre los países de la Unión Europea. El grupo del artículo 29 es el equilibrio necesario para que los ciudadanos
no vean mermadas sus garantías por este intercambio de datos policiales. Por ello, compartimos las consideraciones y las preocupaciones que el director de la Agencia Española de Protección de Datos ha expuesto en su intervención en relación con el
acuerdo de intercambio de datos de pasajeros con Estados Unidos y hemos retenido su propuesta de ayuda, de cooperación cuando este acuerdo deba tramitarse.
En segundo lugar, creemos que es necesario recordar un principio elemental, que por ser
obvio no puede ser menospreciado. La actividad de la agencia responde a una política muy concreta: la defensa y garantía del derecho a la autodeterminación informativa, la tutela del poder de control del ciudadano sobre sus datos personales. Es
un derecho con sustantividad propia, pero muy vinculado al derecho a la intimidad; un derecho que no ha impregnado todavía de manera suficiente la conciencia ciudadana, como ocurre con derechos más añejos, a pesar de que podemos señalar cómo el
incremento notable en la inscripción de ficheros y el incremento significativo de las consultas evidencian cómo la sensibilidad va creciendo. En este
contexto de sensibilización quisiéramos hacer especial mención a la tarea que desarrolla la agencia en la concienciación de este derecho.
Precisamente este tipo de tareas singularizan la Agencia Española de Protección de Datos de otras
instituciones de control o tutela de derechos. Queremos referirnos tanto a lo que se ha hecho en este campo en un ámbito muy concreto como a una labor de concienciación que debe ser especialmente importante en un entorno como el actual, en el que
el uso masivo de las nuevas tecnologías y la globalización suscitan periódicamente problemáticas nuevas. En relación con lo hecho queremos destacar especialmente, puesto que nos parece que tiene una trascendencia singular, la práctica del plan
sectorial relativo a la enseñanza reglada no universitaria. Este plan sectorial es fruto del compromiso asumido por la Agencia Española de Protección de Datos con ocasión de una comparecencia parlamentaria y responde a una propuesta formulada en su
momento por el Grupo Parlamentario Socialista. Como señala expresamente la memoria, este plan es el más ambicioso realizado hasta ahora por la agencia tanto por el número de centros escolares analizados como por la cuantía y diversidad de los datos
manejados. Los resultados del plan no sorprenden a nadie; eran fácilmente intuibles, esto es la no aplicación con carácter general de los principios que informan el derecho a la autodeterminación informática. Aunque este dato sea significativo,
me parece que son mucho más importantes las lecciones que se extraen del plan. Creo que con él se ha producido una concienciación que va a posibilitar el suministro y el manejo de herramientas que permitan a los centros escolares hacer frente a la
situación descrita. Ahora los centros escolares, las asociaciones de padres y madres, el profesorado, el alumnado, las consejerías competentes deben haber adquirido conciencia de la cantidad ingente de datos sensibles que manejan cotidianamente y
de las medidas de seguridad que deben adoptarse para proteger esta información personal. Continuando con lo hecho, valoramos también de manera muy positiva la sensibilidad mostrada con la problemática suscitada por el tratamiento de los datos
personales obtenidos mediante distintos sistemas de cámara o video con finalidad de vigilancia.
Queremos señalar la importancia que otorgamos a la Instrucción 1/2006 -el director ha hecho referencia a ello en su intervención- puesto que aporta
seguridad y criterios precisos. Quizás ahora sea útil recordar, para señalar la significación que tiene en estos momentos en España esta cuestión, la gravedad de los temas suscitados mediante el recurso a unas imágenes que fueron ampliamente
divulgadas por todos los medios de comunicación; me refiero a las imágenes que nos mostraron una actitud muy reprochable y merecedora sin duda de castigo: la patada en un vagón de tren. Estas imágenes se divulgaron sin respeto alguno a las reglas
que disciplinan la videovigilancia, causando un daño a un tercero que aparecía nítidamente identificable. Sé bien que este caso no es competencia de la agencia pero todos debemos compartir la preocupación por estos hechos, porque ello impedirá que
vuelvan a repetirse.
De imágenes quiero continuar hablando para formular alguna propuesta al hilo de una reflexión que se va abriendo camino en la sociedad. El director se ha referido anteriormente en su intervención a estas cuestiones pero conviene insistir en
ellas; me sitúo no ya en el campo del análisis y valoración de la tarea realizada, sino en otro ámbito más propositivo. Como señalaba en una entrevista el propio director de la agencia: nadie quiere renunciar a la intimidad, pero la red banaliza
y debilita esta regla. Me parece importante recordarlo y no perderlo de vista. Ello es especialmente cierto en relación con la circulación de imágenes, con la divulgación de imágenes obtenidas, ya sea sin consentimiento, ya sea con el de quien a
lo mejor no tiene capacidad para prestarlo. Como indicaba un titular reciente de uno de los periódicos de mayor tirada en España, la privacidad se esfuma en You Tube. Cualquiera puede colgar un vídeo en este tipo de portales y una vez la imagen ha
irrumpido en la red el control de la misma es muy difícil para un individuo, y seguramente aquellos que lo cuelgan - y saben hacerlo bien- no son conscientes de esta pérdida de poder con relación a lo que acaban de colgar en la red. En efecto, la
proliferación de blogs confeccionados por menores de edad plantea una temática en esta dirección, especialmente si se retiene que lo que más fascina a estas generaciones, que valoran más la imagen que la palabra, es el intercambio de imágenes; este
intercambio se produce de manera tan sencilla y simple que banaliza toda idea de consentimiento informado, que es la pieza angular del derecho a la protección de datos personales. La Agencia Española ha intervenido recientemente en casos
sangrantes, en casos que nos hirieron a todos. Hay otros supuestos menos graves considerados individualmente que en cambio son preocupantes si se examinan agregadamente, por ello veo importante recordar, como el Tribunal Constitucional ya señaló en
su momento, que el poder de control de los datos personales, sobre su uso y su destino, afecta a cualquier dato sea o no íntimo, la clave es que sea personal; esta es la cuestión que se plantea con relación a las imágenes.
Como he señalado anteriormente nos ha sido especialmente grato oír la referencia a las iniciativas que ha tomado recientemente la agencia sobre cuestiones suscitadas por el uso masivo de Internet y la circulación de imágenes. Somos
conscientes, como se ha puesto de relieve, que esta es una cuestión que solo se puede suscitar y resolver de manera eficiente desde plataformas internacionales, pero en todo caso, como ya se ha hecho y creemos que hay que continuar con esta senda,
también se pueden adoptar medidas en el ámbito español. Por ello solicitamos a la Agencia Española de Protección de Datos que organice foros de debate con expertos y representantes de las empresas suministradoras de servicios de la sociedad de la
información, foros que seguramente deberán realizarse en cooperación con las agencias autonómicas existentes, para acordar pautas y reglas de
conducta adecuadas a este ámbito concreto. Quizá los códigos tipo pueden ser una buena herramienta, pero hay que buscar mecanismos para garantizar la efectividad del derecho a la autodeterminación informativa en este campo concreto. No
descartamos que una revisión más profunda de la situación actual aconseje iniciar la realización de un plan sectorial, nos ha parecido que la Agencia también se lo estaba planteando. En todo caso esta es una medida que deberá valorar la propia
agencia.
Solo nos queda felicitar de nuevo al director de la Agencia Española de Protección de Datos por la tarea desarrollada al servicio de un derecho que adquiere cada día que pasa nuevos prismas y nuevas facetas.
El señor PRESIDENTE: El señor director de la Agencia Española de Protección de Datos tiene ahora la oportunidad de contestar a los requerimiento que le han hecho desde los grupos parlamentarios. El señor Rallo tiene la palabra.
El señor DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (Rallo Lombarte): Gracias, señor presidente, y gracias a los portavoces de los dos grupos parlamentarios que han hecho uso de la palabra y han planteado diversas
consideraciones a partir de los contenidos de mi intervención y también sobre otros no tan extendidos en la misma.
En relación con la intervención que ha realizado la diputada señora Matador, representante del Grupo Parlamentario Popular, que básicamente ha estado centrada en formular una serie de consideraciones, peticiones de información relativas al
proyecto de reglamento de desarrollo de la Ley Orgánica de Protección de Datos, comenzaré agradeciéndole las primeras palabras de valoración en relación con el trabajo general de la agencia. Además deseo ponerme a mí mismo, como director obviamente
y al conjunto de la agencia, de su personal, a su disposición, sobre el punto que ha protagonizado su intervención, para ofrecerle en cualquier otro lugar o momento que ella estime conveniente la información respecto de muchas de las cuestiones que
ha planteado para que pueda serle de utilidad. Espero que sea provechosa no sólo para sus fines como grupo parlamentario sino también para la transmisión o en su caso para facilitar el intercambio con las entidades que le hayan podido trasladar
determinadas inquietudes que seguramente tienen intereses muy relevantes con el tema que ha planteado. Esta invitación tiene una justificación inevitable. El perfil puntual, técnico y concreto de muchas de las cuestiones que ha indicado, de las
peticiones de información que ha planteado, de aclaración o de criterio, hacen muy aconsejable que no se trate tanto de hacer por mi parte una declaración en este momento sobre este tipo de cuestiones como de un intercambio de criterios
fundamentalmente de naturaleza bastante técnica que puede resultar más provechoso para el interés de su grupo y para el de quienes le han trasladado esa preocupación, porque aclarar los distintos extremos que muestran sus interrogantes merecería un
detalle y detenimiento que excedería seguramente el marco en el que nos encontramos en este momento.
Además tengo que hacer notar, porque así es -no es excusa por la que este director quiera evitar ampliar cuanta información sea posible suministrar en este momento-, que el proyecto de reglamento es una iniciativa del Ministerio de Justicia.
A él le corresponde proponerlo al Consejo de Ministros y el Ministerio de Justicia es sobre el que ha pivotado sustancialmente, liderando la tramitación, los debates que ha habido desde el último año o los últimos ocho o nueve meses en los que yo he
participado, así como impulsando ese proyecto. Ahora bien, no es menos cierto -no se ajustaría a la realidad- negar que la agencia ha colaborado estrechamente con el ministerio en la elaboración del reglamento, tanto en el pasado, quiero decir con
anterioridad a mi incorporación a la agencia, con un trabajo extraordinario del que se dio cuenta en el pasado en anteriores comparecencias del director ante esta Comisión, como durante los últimos diez meses, en los que se ha dado paso a una fase
más pública de ese debate. En esa fase se han sucedido dos momentos de singular importancia, a saber la primera de ellas la adopción del Gobierno, del Ministerio de Justicia, de un proyecto de reglamento que se ofreció, en el marco de las
previsiones a la ley de Gobierno, en audiencia pública a todas las entidades que pudieran tener interés en formular alegaciones al mismo, y eso se produjo durante el primer semestre de este año; y, en segundo lugar, culminado ese proceso,
habiéndose cumplido ya, el trámite de informe o dictamen del Consejo de Estado. Llamo la atención sobre el hecho de que durante el primero de esos trámites han ejercido su derecho a formular alegaciones al proyecto que adoptó el Ministerio de
Justicia un elenco finito, ciertamente, pero les garantizo que muy extenso, de entidades. Nadie que tuviese algo que decir en la aplicación de la normativa de protección de datos ha dejado de hacer uso de ese derecho, y hay que advertir que
prácticamente todo el mundo tiene algo que decir -afortunadamente- sobre la aplicación de esta normativa. Todas las entidades que puedan imaginarse de naturaleza representativa, relevante, en nuestro país formularon alegaciones y consideraciones a
ese proyecto de reglamento. Finalmente, el Ministerio de Justicia en un proceso -también lo aseguro, garantizo o confirmo- de sesuda reflexión junto con la agencia y de interlocución también intensa e incluso presencial con entidades que habían
formulado por escrito todas esas consideraciones fijó, aprobó o adoptó un proyecto que remitió al Consejo de Estado, en cuyo trámite de audiencia, en el plazo de dos meses, que ha agotado el Consejo de Estado, también concurrieron entidades muy
relevantes y representativas para formular alegaciones y consideraciones. Son entidades que en gran medida representan, recogen y plantean inquietudes del tenor de las que usted ha mencionado en
su intervención, y el Consejo de Estado emitió su dictamen. Este breve recorrido lo hago para ilustrar a todas SS.SS sobre el hecho de que el camino recorrido ha sido de diálogo intenso, de reflexión constante y desde luego de transparencia
muy alta, en relación con la posibilidad de incorporar o recoger opiniones y criterios, debatirlas y contrastar también los criterios, las razones y argumentos sobre los que se sustenta la aceptación o no de muchas de estas cuestiones.
Llegados a este punto, en el que no más lejos del pasado día 21 de este mes -hace escasamente siete días-, el Consejo de Estado emitió y remitió el dictamen relativo al proyecto de reglamento, ninguna de las cuestiones, inquietudes,
sugerencias o propuestas de enmienda o de concreción que ha planteado S.S. ha tenido eco o ha sido recogida en el informe del Consejo de Estado como iniciativas que merecieran una revisión, una modulación del proyecto de reglamento, lo que
obviamente no vincula el dictamen del Consejo de Estado y no impide una revisión de estos criterios. La relevancia institucional del mencionado dictamen merece que sea un referente válido para enjuiciar el camino recorrido en esa reflexión. Usted
ha mencionado algunas cuestiones que son de singular complejidad, como las del ámbito objetivo: hasta qué punto alcanza o no la normativa de protección de datos a personas fallecidas. Singular dificultad plantea el alcance de esta normativa a
quienes ejercen una determinada actividad profesional, por lo tanto singular dificultad plantea deslindar la condición de persona física y la de profesional sometido a una determinada actividad de esa naturaleza. Singular dificultad plantea definir
criterios y reglas que garanticen el principio del derecho a la protección de datos, como los de información, consentimiento, las propias categorías de datos. Si tenemos en cuenta algo que es un punto de partida inevitable - con lo que va siendo
esta respuesta ilustro este argumento-, la Ley Orgánica de Protección de Datos, el derecho fundamental a la protección de datos de carácter personal, tiene una aplicación y una proyección general a un universo omnicomprensivo de una -aquí sí-
infinita casuística, que hace muy difícil que el caso concreto y la pregunta concreta respecto de un concreto sector y situación pueda obtener una respuesta en una norma de carácter general, como es el reglamento de desarrollo de la Ley Orgánica de
Protección de Datos. Creo que eso es fácilmente comprensible y se puede entender para dar el paso siguiente y compartir que las respuestas a muchas de esas situaciones y dudas que se plantean, legítimas todas ellas, tendrán que producirse en el
caso concreto, más que en la definición global del marco general de desarrollo, partiendo, eso sí, de la enorme sensibilidad que existe en la agencia, en este director y en todo su personal, respecto de una realidad que es incuestionable y es el
rigor con el que la agencia impone las sanciones económicas a las entidades privadas y tenemos que ser muy conscientes de que cuando se imponen es porque hay una conciencia y consciencia de incumplimiento de la normativa, evitando por tanto los
espacios de inseguridad jurídica o de duda en los sectores fundamentalmente económicos y profesionales que tienen que aplicar esa normativa y que se pueden ver sometidos a un régimen sancionador singularmente estricto. Esa sensibilidad existe en la
agencia e intenta proyectarla en distintos ámbitos, fundamentalmente en las resoluciones concretas que adopta, pero también en el proyecto de reglamento que, como decía antes, está en un proceso muy avanzado de culminación. También nos consta que
el Ministerio de Justicia, en el intercambio de criterios que hemos trasladado en las reuniones que él mismo ha tenido con todos los sectores implicados, ha sido receptivo a esas dudas que hay que intentar superar.
Respecto a la demanda de información que usted plantea, para no excederme en este momento y sede, le confirmo en este momento una invitación, en los términos que usted considere más satisfactorios, de la agencia o una interlocución al nivel
que sea para brindarle a usted y a los sectores que le hayan trasladado esas inquietudes toda la información y respuestas que consideren necesarias en relación con el proceso de elaboración y las posibilidades que puedan existir todavía de
introducir algún tipo de modificación en ese proyecto, que corresponde liderar al Ministerio de Justicia e impulsar su aprobación en el seno del Consejo de Ministros.
Agradezco muy sinceramente los distintos extremos de la intervención de la diputada Malaret, la profesora Malaret. Ha sido una intervención coincidente con las preocupaciones que he venido a trasladar en mi intervención inicial, lo que
demuestra que estamos ante una preocupación compartida socialmente. Hay una realidad que está generando unos niveles de preocupación y de duda extraordinarios, singularmente en lo referente al rol o papel que juega hoy en nuestras vidas Internet
como instrumento que afecta a nuestra convivencia en todas sus manifestaciones: en el ámbito económico, cultural, social, de relaciones afectivas o de todo tipo. Esa explosión de relevancia de esa herramienta hace que todos compartamos la virtud
intrínseca de un instrumento que puede hacer nuestra vida más cómoda, más intensa, más rica, más culta, pero al mismo tiempo hace que todos empecemos a ver riesgos y peligros muy reales, no solo de carácter difuso o general, sino también de carácter
muy concreto y puntual. Cada día que cualquiera de los ciudadanos o de SS.SS. abre un periódico hay una noticia que anuncia alguna feliz novedad de las transformaciones que las nuevas tecnologías ofrecen para nuestra vida, pero también una noticia
que anuncia riesgos para nuestra vida, para nuestra existencia y que muestra cómo puede afectar Internet a los valores y a los derechos en los que se sustenta la sociedad actual, la sociedad democrática, la sociedad de valores y de principios. Las
respuestas efectivas para acotar el alcance de ese fenómeno quizá no sean todavía intuibles, pero comparto con S.S. que hay un camino muy real que recorrer para impedir
la sensación de impunidad que está instalada en nuestra vida cotidiana sobre los riesgos que Internet y muchas de sus manifestaciones pueden plantear para nuestra convivencia, para esos valores y esos principios que antes comentaba.
Usted ha hecho referencia a un ejemplo en particular, en el ámbito del tratamiento de imágenes. A los fines de seguridad, no hay que ir solo a esos ámbitos, porque la vida cotidiana demuestra como en herramientas de Internet como YouTube se
alojan productos de todo tipo y naturaleza. La gran mayoría de ellos son manifestaciones de la libertad de expresión y de creación, son productos nobles y admisibles en nuestro marco de valores y de principios, pero junto a ellos hay productos
deplorables, execrables, frente a los que hay que ofrecer una respuesta reactiva clara. Internet no puede ser un territorio sin ley, en el que esté instalada la impunidad. Hay respuestas, no internacionales pero sí nacionales, válidas y efectivas.
La agencia, como usted anunciaba, ha activado algunas de ellas en su estricto marco de competencia, que es la garantía del derecho fundamental, y en el marco estricto de ejercicio de sus facultades, las facultades que la ley orgánica le atribuye.
Además, tengo que decirle con satisfacción que hemos podido comprobar que la activación de algunas de esas iniciativas ha tenido una respuesta feliz.
Eso nos anima y estimula a adoptar nuevas actuaciones. A lo mejor nuestro Estado de derecho no
tiene todavía mecanismos de reacción lo suficientemente rápidos y eficaces de otra naturaleza, y los poderes públicos tendrán que repensar cómo introducir medios y mecanismos que den una respuesta más rápida a todas esas realidades. Seguramente en
este ámbito, junto con el otro gran tema, que es la garantía de los derechos del menor en el mundo de Internet, habrá que pensar en una actuación que vaya incluso más allá de la que la agencia ya ha empezado a desarrollar a través del análisis de
las políticas de privacidad de los buscadores y que puede llegar a traducirse en algún tipo de plan sectorial. También es cierto que la realidad a la que nos referimos es extraordinariamente cambiante, veloz en su transformación y en los nuevos
productos que cada día ofrece. Por tanto, cualquier actuación de análisis deberá atender a este aspecto desde el punto de vista metodológico. No sé si a corto, pero a medio plazo es una iniciativa que habrá que sopesar de forma muy seria, y desde
luego desde ahora mismo atiendo, porque creo que es de interés, la propuesta de que la agencia impulse la organización de encuentros o foros que puedan constituir un marco de análisis y de discusión, no solo bilateral sino también multilateral,
sobre todos estos elementos teniendo en cuenta que en este entorno, al igual que en la aplicación general de la normativa de protección de datos, es muy importante atender los criterios y los intereses, sin duda legítimos, de la industria, de las
empresas que impulsan este tipo de productos y que dan satisfacción a un interés general de los ciudadanos en tanto usuarios. Al mismo tiempo, tanto o más importante es atender y tener en cuenta los criterios y las opiniones que en ese tipo de
foros puedan expresar las entidades, las asociaciones, que no representan intereses particulares -de empresas, de carácter económico, etcétera- sino intereses generales o intereses difusos, que pueden representar directamente a los ciudadanos y cuya
vocación altruista puede ser un complemento muy necesario al conflicto tan presente siempre en la aplicación de esta normativa de protección de datos entre el interés concreto y particular, económico en gran medida -absolutamente legítimo-, pero
también el interés general, difícil y raramente representado de forma suficientemente sólida y fuerte para las situaciones que en definitiva están en juego y sometidas a riesgo. Por tanto, las distintas consideraciones que ha realizado y las
preocupaciones que ha trasladado sobre los nuevos fenómenos de Internet, en particular en el ámbito de su afectación a los menores, y las propuestas relativas a los procesos de reflexión o de inspección futuros tenga a buen seguro que las vamos a
tener muy en cuenta en el diseño de los planes futuros inmediatos de la agencia.
El señor PRESIDENTE: Doña Carmen Matador quería intervenir un momento.
La señora MATADOR DE MATOS: Solamente quiero intervenir un minuto, en primer lugar, para agradecerle sus explicaciones y para decirle que me comprometo a hacerle llegar todas estas cuestiones que han sido trasladadas en concreto al Grupo
Parlamentario Popular. Muchos de los adjetivos que he dicho otras veces en otras sesiones hoy los he obviado porque los doy por hechos. Sé que se sigue la misma línea de trabajo y me congratula además que este año los Presupuestos Generales hayan
aumentado la dotación para la Agencia de Protección de Datos, porque creo que tenemos que seguir trabajando en esa dirección. Asimismo me consta el trabajo que está realizando la agencia tanto a nivel de comunicación como de difusión de la norma;
todo eso lo sé y lo he dado por sentado. El hecho de ser diputada me da el privilegio de reunirme con gabinetes jurídicos que asesoran a pequeñas y medianas empresas y me pidieron que hoy me ciñera única y exclusivamente a este tema. Yo no soy muy
experta en la materia. Soy diputada, soy licenciada en Derecho y puedo decir que me interesa este tema, pero no soy experta como pueda serlo el señor director general a estos niveles; por eso le daba traslado de todas estas cuestiones que me
comprometo a transmitirle o a concertar una reunión al respecto cuando a usted le venga bien, porque tenemos que ser conscientes de que estas cuestiones que yo le he señalado se suscitan en la práctica.
Sabemos que es una ley de aplicación general,
pero a la hora de aplicar la Ley de Protección de Datos tenemos que tener en cuenta que se aplica igual a una pequeña empresa con dos empleados o al quiosquero de la esquina que a una gran superficie y los problemas los vemos realmente cuando
tenemos que aplicar la ley. Me consta que este proyecto de reglamento
se ha hecho con informes valiosísimos, pero también hay que tener en cuenta las cuestiones que nos puedan suscitar esos pequeños y medianos empresarios, que se ven con esas dificultades a la hora de aplicar la ley. Por todo lo demás, muchas
gracias por su explicación.
El señor PRESIDENTE: Damos con esto por concluida la sesión de la Comisión agradeciendo muy especialmente la presencia y las explicaciones que nos ha reportado el director general, señor Rallo.
Era la una y treinta minutos de la tarde.